1

Subirse a la nube con los pies en la tierra

subirse-a-la-nube-con-los-pies-en-la-tierra

 


Por Iván Arce
CTO
Core Security Technologies –

 

Si bien es notable la velocidad con que los modelos de Cloud Computing son adoptados cada vez más por compañías de diversos tamaños en su esfuerzo por adaptarse a las exigencias del mercado actual, es cierto que este crecimiento sería más acelerado y sostenido si las incertidumbres que surgen entorno a la adopción de un nuevo modelo de servicios (como lo es en la actualidad Cloud) fueran despejadas a priori.

 

Parece conveniente entonces proponer algunas recomendaciones básicas para la elección del modelo a aplicarse, así como la eliminación de ciertas dudas que se presentan inevitablemente a la hora de elegir el modelo de servicios acorde a cada empresa en particular.

 

El primer dato que habrá de tenerse en cuenta es que Cloud Computing no se trata de una única tecnología sino más bien de una combinación de diversas tecnologías (como ser virtualización, servicios web,  procesamiento distribuido, almacenamiento masivo o algoritmos de clustering y paralelización), agrupadas en tres modelos de provisión de servicios diferenciados: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e Infrastructure-as-a-Service (IaaS). 


Lo anterior es pertinente en tanto que, si nos situamos en el punto de vista de una compañía evaluando la adopción de este modelo de IT, es recomendable que realice una comprensión exhaustiva de las características de seguridad de cada tipo de oferta de Cloud. De este análisis debe desprenderse el trazado de un mapa de los riesgos de negocios asociados a cada una.

 

Una vez realizado lo anterior, es aconsejable que se identifique cuáles son las actividades o los proyectos al interior de la empresa que, por sus exigencias de negocios o requerimientos de seguridad, se adecúan en rasgos generales al modelo de Cloud Computing; y luego cuál es el  modelo de servicios específico más apropiado para los proyectos en cuestión.

 

Lo óptimo será que la adopción del modelo de servicio elegido sea gradual; siempre y cuando su aplicación se realice manteniendo la capacidad de auditoría y de control del proveedor (incluyendo la de su infraestructura tecnológica), y garantizando contractualmente un nivel de servicio de seguridad requerido para cumplir con la regulación y las políticas de seguridad internas. No es un dato menor el de atenerse a las leyes y regulaciones locales, considerando la jurisdicción sobre la que se aplican.

 

Una recomendación adicional podría consistir en diseñar un plan de contingencia por si resulta preciso realizar un cambio de proveedor, lo cual comprenderá el desplazamiento de las aplicaciones y procesos de una nube a otra de un proveedor diferente. O directamente efectuar un cambio de modelo e internalizar la infraestructura de IT tercerizada.


Al mismo tiempo, es conveniente desplegar una serie de cuestiones relativas a  la prevención de riesgos que pueden presentarse por la adopción de un nuevo modelo de servicios.

 

Primeramente, y si bien resulta imposible asegurarse la confiabilidad del proveedor elegido, es recomendable exigirle cláusulas contractuales que reduzcan la posibilidad de incidentes y den la oportunidad a aquellos que los contratan de auditar la infraestructura tercerizada.

 

En segundo lugar, a la hora de poner servicios en la nube, es preciso asegurarse de no perder el control de la seguridad o de no perder de vista qué ocurre con la infraestructura. Nuevamente, es primordial tener en vista que ciertas regulaciones y cuestiones normativas sean aplicadas al poner el control en manos de terceros.

 

Así, siempre y cuando la empresa tenga una visión de seguridad básica en conjunto con una estrategia de negocios consistente, podrá discriminar correctamente cuáles son los procesos que es conveniente que sean tercerizados y cuáles es pertinente continuar desarrollando al interior de la compañía.

 

Si el modelo de servicios Cloud elegido es el que mejor se adecúa a estos procesos, es preciso que las recomendaciones mencionadas sean puestas de relieve para una implementación y uso sin riesgos.

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.